"Search for..." Startseite kommt immer wieder!

Thema ist geschlossen!
Thema ist geschlossen!
#0
06.09.2004, 02:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#181 Hallo @tobiwan

Dein PC ist verseucht und nicht mehr vertarauenswuerdig.... kompromittiert.

#Wiederherstellung deaktivieren
http://www.bsi.de/av/texte/winsave.htm

scanne mit dem HijackThis, hake das hier an, <fix< und neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {D439FEA3-0D3C-4D16-A67F-805BB87C1229} - C:\WINDOWS\System32\gklpg.dll
O2 - BHO: (no name) - {D439FEA3-0D3C-4D16-A67F-805BB87C1229} - C:\WINDOWS\System32\gklpg.dll
O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE
O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
O4 - HKLM\..\RunServices: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE
O4 - HKLM\..\RunServices: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_AT.cab
O18 - Filter: text/html - {FD97010D-3006-49C1-99FA-E53C7BDDC598} - C:\WINDOWS\System32\gklpg.dll
O18 - Filter: text/plain - {FD97010D-3006-49C1-99FA-E53C7BDDC598} - C:\WINDOWS\System32\gklpg.dll

neustarten

1.)Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken)
Sicherstellen, daß alle Dateien angezeigt werden. (Systemsteuerung - Ordneroptionen - Ansicht - "Alle Dateien und Ordner anzeigen" aktivieren und "Geschützte Systemdateien ausblenden" deaktivieren.)

2.)Den folgenden Ordner löschen:

C:\WINDOWS\System32\SCVHOST.EXE (Achtung: nicht mit der legitimen Datei svchost.exe verwechseln.)
C:\<Windows>\MSTO32.DLL
C:\<Windows>\SYSINI.INI
C:\<Windows>\wingua_.EXE
Ordner namens <etcf <
C:\WINDOWS\System32\REGCPM32.EXE

3.)normal neustarten
______________________________________________________________________________________________
4.)Alle Dateien und Ordner in den C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp Ordnern löschen.

5)Alle Dateien im Ordner C:\Windows\Temp löschen.....#Start<Ausfuehren<%temp%

6.)Über Systemsteuerung - Internetoptionen die temporären Internetdateien einschließlich aller Offlineinhalte löschen.

7.)Lade <Winsweep<
http://www.winsweep.de/down.htm
Klicke auf die Grafik , da erscheint der Download.
Dann musst du das Tool nicht kaufen, sondern einfach ab und zu "System reinigen" anklicken.
Dann das Tool wieder aus dem Autostart nehmen
Start<Ausfuehren<msconfig<Systemstart das Haekchen vor Winsweep rausnehmen.

8.)Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen)
_____________________________________________________________________________________________
9.)Gehe unbedingt in den abgesicherten Modus (!)
http://www.bsi.de/av/texte/winsave.htm
10.)suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.

11.)Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal. (stelle vorher eine neue Startseite ein, deinstalliere den Symantec und lade ihn neu (ist zerstoert)

mfg
Sabina

http://www.sophos.de/virusinfo/analyses/trojtofgero.html
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.09.2004 um 02:37 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.09.2004, 10:27
...neu hier

Beiträge: 6
#182 hy sabina
vielen dank für die schnelle und ausführliche hilfe...!
hoff dass ich alle schritte ohne fehler bis zum ende ausführen kann!
meld mich sicher bald nochmal...
bis einstweilen
Seitenanfang Seitenende
06.09.2004, 11:34
...neu hier

Beiträge: 5
#183 Hi ich hab auch Probleme mit der searchweb2.com startseite. Könnt ihr mal schaun ob ihr was findet?

Logfile of HijackThis v1.97.7
Scan saved at 11:32:58, on 06.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\frnDSL\frnDSL.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Marius Erlenbruch\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.xtvanhzktiqgpceelfghq.net/PTbVc/iaatH/rcgTOcf0ZzXTZZ5TG4xuErBAIUvmwtFOEqk0TkXMDITr029zE56o.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)
O2 - BHO: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll
O2 - BHO: (no name) - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL (file missing)
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {75496230-6FDC-995D-7C36-AEB06ED70585} - C:\PROGRA~1\INFOFR~1\EXTRAPLUS.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\Kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [ErrorActive] C:\PROGRA~1\SECOND~1\File Bore Kind.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TestMealSoftFlag] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\send rdr test meal\Upload win.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Valve\Steam2\Steam.exe -silent
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O15 - Trusted Zone: www.bcf-clan.tk
O15 - Trusted Zone: www.counter-strike.de
O15 - Trusted Zone: www.google.de
O15 - Trusted Zone: http://www.kart-geiselhoering.tk
O15 - Trusted Zone: http://www.rallye-magazin.de
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/05719b637321df4e7323/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B887463-E043-44DE-ADF3-9FBA61315E5A}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1E86C58-18B5-47D8-A69F-5A4DB2D18CAA}: NameServer = 194.97.173.125 194.97.173.124

MFG
Counterdoc
Seitenanfang Seitenende
06.09.2004, 11:46
...neu hier

Beiträge: 1
#184 Ich hab ein Problem mit SearchWeb...Bitte um Hilfe.

Logfile of HijackThis v1.97.7
Scan saved at 11:42:24, on 06.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\WINDOWS\System\adtool.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\kleine Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\MSN Messenger\MsgPlus.exe
C:\WINDOWS\System32\qpqhsivf.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\PROGRA~1\Aquatica\AQ3HEL~1.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\KLEINE~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\DR_S\DR_S.exe
C:\programme\games\valve\steam\steam.exe
C:\PROGRA~1\CLOCKS~1\Sync.exe
C:\WINDOWS\SYSsfitb.exe
C:\PROGRA~1\ezula\mmod.exe
C:\Programme\kleine Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\kleine Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Dokumente und Einstellungen\Tim\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.knuddels.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchforit.com/searchbar
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.csjxcvufjloptojntcnu.com/25Ry3PTay8RrgtkPR/HmuC4k7q/76LuuFh7llmRaqmEPwhQVAEaiM8lMqnc8GI_Q.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchforit.com/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.knuddels.de/
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\kleine Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1AF0B39A-D64D-FA16-49C6-31F5046EAC9E} - C:\PROGRA~1\Realbook\TransDale.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\kleine Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Replace Search Ctl - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - C:\WINDOWS\System32\replaceSearch.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\System32\bridge.dll
O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\kleine Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: searchforit - {C109664B-CEB1-420b-B353-D55A561536DD} - C:\WINDOWS\System32\SYSsfitb.dll
O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar17.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [FastTVSync] "C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System\adtool.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\kleine Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [logfont] C:\WINDOWS\logfont.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MSN Messenger\MsgPlus.exe"
O4 - HKLM\..\Run: [plan 2] C:\PROGRA~1\MAPIHO~1\extradrawlog.exe
O4 - HKLM\..\Run: [hpomwptdo] C:\WINDOWS\System32\qpqhsivf.exe
O4 - HKLM\..\Run: [searchbar] C:\WINDOWS\System32\vnmispoisn_downloader.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Games\Doom 3\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\Aquatica\AQ3HEL~1.EXE /partner AQ3
O4 - HKLM\..\Run: [longgreymessclose] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BirdChicLongGrey\proxylog.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\KLEINE~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [DR_S] C:\Programme\DR_S\DR_S.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MSN Messenger\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Steam] "c:\programme\games\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ClockSync] C:\PROGRA~1\CLOCKS~1\Sync.exe
O4 - HKCU\..\Run: [SYSsfitb] C:\WINDOWS\SYSsfitb.exe
O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\kleine Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb001
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: SideFind (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1485c794b08e694bdb05/netzip/RdxIE601_de.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} - http://content.netvenda.com/sites/games-intl/de/games4.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38022.6104398148
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/autocomplete.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab30149.cab

Danke...Tim.
Seitenanfang Seitenende
06.09.2004, 12:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#185 @Zero-00

Dein PC ist verseucht und nicht mehr vertarauenswuerdig.... kompromittiert.
Aendere alle wichtigen Passworte und versuche die Reinigung (Neuinstallation waere allerdings das Beste......)

#Wiederherstellung deaktivieren
http://www.bsi.de/av/texte/winsave.htm
___________________________________________________________________________
scanne mit dem HijackThis, hake das hier an, <fix< und neustarten

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.xtvanhzktiqgpceelfghq.net/PTbVc/iaatH/rcgTOcf0ZzXTZZ5TG4xuErBAIUvmwtFOEqk0TkXMDITr029zE56o.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchforit.com/searchbar
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
O2 - BHO: (no name) - {1AF0B39A-D64D-FA16-49C6-31F5046EAC9E} - C:\PROGRA~1\Realbook\TransDale.exe
O2 - BHO: Replace Search Ctl - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - C:\WINDOWS\System32\replaceSearch.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\System32\bridge.dll
O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: searchforit - {C109664B-CEB1-420b-B353-D55A561536DD} - C:\WINDOWS\System32\SYSsfitb.dll
O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar17.dll

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System\adtool.exe
O4 - HKLM\..\Run: [logfont] C:\WINDOWS\logfont.exe
O4 - HKLM\..\Run: [plan 2] C:\PROGRA~1\MAPIHO~1\extradrawlog.exe
O4 - HKLM\..\Run: [hpomwptdo] C:\WINDOWS\System32\qpqhsivf.exe
O4 - HKLM\..\Run: [searchbar] C:\WINDOWS\System32\vnmispoisn_downloader.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [longgreymessclose] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BirdC
O4 - HKCU\..\Run: [DR_S] C:\Programme\DR_S\DR_S.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [SYSsfitb] C:\WINDOWS\SYSsfitb.exe
O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb001
O9 - Extra button: SideFind (HKLM)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebprodu
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/install/win


2.)Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken)

Sicherstellen, daß alle Dateien angezeigt werden. (Systemsteuerung - Ordneroptionen - Ansicht - "Alle Dateien und Ordner anzeigen" aktivieren und "Geschützte Systemdateien ausblenden" deaktivieren.)

3.)Loesche:\Deinstalliere:

C:\PROGRA~1\MAPIHO~1\extradrawlog.exe
C:\WINDOWS\System\adtool.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\Programme\MSN Messenger\MsgPlus.exe
C:\WINDOWS\System32\qpqhsivf.exe
C:\WINDOWS\SYSsfitb.exe
http://sarc.com/avcenter/venc/data/pf/adware.adshooter.html
C:\PROGRA~1\ezula\mmod.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
C:\Programme\DR_S\DR_S.exe
C:\Program Files\WindowsSA\omniscient.exe
C:\WINDOWS\logfont.exe
Troj/AgentSpy-A
http://www.sophos.de/virusinfo/analyses/trojagentspya.html

4.)Alle Dateien und Ordner in den C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp Ordnern löschen.

5)Alle Dateien im Ordner C:\Windows\Temp löschen.....#Start<Ausfuehren<%temp%

6.)Über Systemsteuerung - Internetoptionen die temporären Internetdateien einschließlich aller Offlineinhalte löschen.

Gehe wieder in den Normalmodus:

7.)Lade <Winsweep<
http://www.winsweep.de/down.htm
Klicke auf die Grafik , da erscheint der Download.
Dann musst du das Tool nicht kaufen, sondern einfach ab und zu "System reinigen" anklicken.
Dann das Tool wieder aus dem Autostart nehmen
Start<Ausfuehren<msconfig<Systemstart das Haekchen vor Winsweep rausnehmen.

8.)Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen)
_____________________________________________________________________________________________
9.)Gehe unbedingt in den abgesicherten Modus (!)
http://www.bsi.de/av/texte/winsave.htm
10.)suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.

Nach dem Scann, gehe wieder in den Normalmodus

11.)AdAware (free)
http://www.lavasoft.de/support/download/

12.) scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal. (stelle vorher eine neue Startseite ein)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.09.2004 um 13:41 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.09.2004, 12:35
...neu hier

Beiträge: 1
#186 Also ich hab auch das unten mehrmal genannte Problem...
mein log-file:

Logfile of HijackThis v1.98.2
Scan saved at 12:24:43, on 06.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\user\programme\norton\navapsvc.exe
C:\user\programme\norton\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\user\programme\norton\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\apisq.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\ODBCINST.INI:einbd
C:\Dokumente und Einstellungen\Robert\Desktop\WrAdmin.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Robert\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\yoiam.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yoiam.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\yoiam.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\yoiam.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yoiam.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\yoiam.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\yoiam.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R3 - Default URLSearchHook is missing
F1 - win.ini: run=fntldr.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\user\programme\reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {09FB32FD-A37F-80FB-81BA-E5E7A992B7C6} - C:\WINDOWS\addll32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\user\programme\norton\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\user\programme\norton\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [bqoefsiw] C:\WINDOWS\System32\nvcohv.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\user\PROGRA~1\norton\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [mfcgs.exe] C:\WINDOWS\system32\mfcgs.exe
O4 - HKLM\..\Run: [netah.exe] C:\WINDOWS\system32\netah.exe
O4 - HKLM\..\Run: [msbz.exe] C:\WINDOWS\system32\msbz.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [apisq.exe] C:\WINDOWS\system32\apisq.exe
O4 - HKLM\..\RunOnce: [ixdtw] C:\WINDOWS\hh.exe:ixdtw
O4 - HKLM\..\RunOnce: [einbd] C:\WINDOWS\ODBCINST.INI:einbd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Lnbu] C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\oroe.exe
O4 - HKCU\..\Run: [Fvyvzpl] C:\WINDOWS\System32\ftwyw.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\user\programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\user\programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?319
O17 - HKLM\System\CCS\Services\Tcpip\..\{447695E9-E2C1-4DB6-8E1C-39F26F162F8F}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{447695E9-E2C1-4DB6-8E1C-39F26F162F8F}: NameServer = 192.168.1.1
O19 - User stylesheet: C:\WINDOWS\Web\tips.ini (file missing)
Seitenanfang Seitenende
06.09.2004, 13:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#187 Hallo @Graverider

Dein PC ist verseucht und nicht mehr vertarauenswuerdig.... kompromittiert.
Aendere alle wichtigen Passworte und versuche die Reinigung (Neuinstallation waere allerdings das Beste......)

#Wiederherstellung deaktivieren
http://www.bsi.de/av/texte/winsave.htm
___________________________________________________________________________
scanne mit dem HijackThis, hake das hier an, <fix< und neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\yoiam.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yoiam.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\yoiam.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\yoiam.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yoiam.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\yoiam.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\yoiam.dll/sp.html#29126

R3 - Default URLSearchHook is missing
F1 - win.ini: run=fntldr.exe
O4 - HKLM\..\Run: [bqoefsiw] C:\WINDOWS\System32\nvcohv.exe
O4 - HKLM\..\Run: [mfcgs.exe] C:\WINDOWS\system32\mfcgs.exe
O4 - HKLM\..\Run: [netah.exe] C:\WINDOWS\system32\netah.exe
O4 - HKLM\..\Run: [msbz.exe] C:\WINDOWS\system32\msbz.exe
O4 - HKLM\..\Run: [apisq.exe] C:\WINDOWS\system32\apisq.exe
O4 - HKLM\..\RunOnce: [ixdtw] C:\WINDOWS\hh.exe:ixdtw
O4 - HKLM\..\RunOnce: [einbd] C:\WINDOWS\ODBCINST.INI:einbd
O4 - HKCU\..\Run: [Lnbu] C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\oroe.exe
O4 - HKCU\..\Run: [Fvyvzpl] C:\WINDOWS\System32\ftwyw.exe

O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com

O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?319
O19 - User stylesheet: C:\WINDOWS\Web\tips.ini (file missing)

neustarten

2.)Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken)

Sicherstellen, daß alle Dateien angezeigt werden. (Systemsteuerung - Ordneroptionen - Ansicht - "Alle Dateien und Ordner anzeigen" aktivieren und "Geschützte Systemdateien ausblenden" deaktivieren.)

3.)Loesche:
C:\WINDOWS\System32\nvcohv.exe
C:\WINDOWS\system32\mfcgs.exe
C:\WINDOWS\system32\netah.exe
C:\WINDOWS\system32\msbz.exe
C:\WINDOWS\system32\apisq.exe
C:\WINDOWS\hh.exe:ixdtw
C:\WINDOWS\ODBCINST.INI:einbd
C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\oroe.exe
C:\WINDOWS\System32\ftwyw.exe
%Windir%\Web\tips.ini
%Windir%\hh.htt
.........................................................................................................

4.)die Host-Datei: in c:\Windows\System32\drivers\etc\hosts (Mit Notebook oeffen)
Im Normalfall sollte dass hier drin stehen, alles andere loeschen
127.0.0.1 localhost
#Orginal Host Datei

5.)Start<Ausfuehren<msconfig
edit c:\windows\win.ini
(MS-DOS Editor oeffnet sich)
In the [windows] section of the file, look for a line similar to:
loeschen:
run=fntldr.exe

6.)Gehe in die Registry

Start<Ausfuehren<regedit
loesche, falls es da ist auf der rechten Seite der Registry
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer
"ReconfLast"=dword:07D30C01
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer
"Search"="<WebAddress>"
"SearchURL"="<WebAddress>"
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Search
"Search Assistant"="<WebAddress>"
"CustomizeSearch"= "<WebAddress>"
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Styles
"User Stylesheet"="%Windir%\Web\tips.ini"
http://securityresponse.symantec.com/avcenter/venc/data/adware.searchcounter.html

7.)Suche und loesche:
fntldr.exe

8.)Alle Dateien und Ordner in den C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp Ordnern löschen.

9)Alle Dateien im Ordner C:\Windows\Temp löschen.....#Start<Ausfuehren<%temp%

10.)Über Systemsteuerung - Internetoptionen die temporären Internetdateien einschließlich aller Offlineinhalte löschen.

Gehe wieder in den Normalmodus:

11.)Lade <Winsweep<
http://www.winsweep.de/down.htm
Klicke auf die Grafik , da erscheint der Download.
Dann musst du das Tool nicht kaufen, sondern einfach ab und zu "System reinigen" anklicken.
Dann das Tool wieder aus dem Autostart nehmen
Start<Ausfuehren<msconfig<Systemstart das Haekchen vor Winsweep rausnehmen.

12.)Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen)
_____________________________________________________________________________________________
13.)Gehe unbedingt in den abgesicherten Modus (!)
http://www.bsi.de/av/texte/winsave.htm
14.)suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.

Nach dem Scann, gehe wieder in den Normalmodus

15.)AdAware (free)
http://www.lavasoft.de/support/download/

16.) scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal. (stelle vorher eine neue Startseite ein)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.09.2004 um 13:40 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.09.2004, 13:17
...neu hier

Beiträge: 5
#188 wie siehts mit meinem aus?
Seitenanfang Seitenende
06.09.2004, 13:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#189 @Counterdoc
Kommt gleich..
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.09.2004 um 13:27 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.09.2004, 13:32
...neu hier

Beiträge: 5
#190 Danke, ich kanns kaum erwarten was gegen den mist zu unternehmen!
Seitenanfang Seitenende
06.09.2004, 13:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#191 @@Counterdoc

#Wiederherstellung deaktivieren
http://www.bsi.de/av/texte/winsave.htm
___________________________________________________________________________
scanne mit dem HijackThis, hake das hier an, <fix< und neustarten

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.xtvanhzktiqgpceelfghq.net/PTbVc/iaatH/rcgTOcf0ZzXTZZ5TG4xuErBAIUvmwtFOEqk0TkXMDITr029zE56o.html

R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)
O2 - BHO: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll
O2 - BHO: (no name) - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL (file missing)
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {75496230-6FDC-995D-7C36-AEB06ED70585} - C:\PROGRA~1\INFOFR~1\EXTRAPLUS.exe

O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll

O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\Kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [ErrorActive] C:\PROGRA~1\SECOND~1\File Bore Kind.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

Nicht gefährlich aber unnötig.
O4 - HKLM\..\Run: [TestMealSoftFlag] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\send r
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime


neustarten

#Deinstalliere++Loesche alles davon
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll
C:\Programme\Common files\updmgr\updmgr.exe
C:\PROGRA~1\SECOND~1\File Bore Kind.exe
C:\Programme\MyWay\myBar

#Lade <Winsweep<
http://www.winsweep.de/down.htm
Klicke auf die Grafik , da erscheint der Download.
Dann musst du das Tool nicht kaufen, sondern einfach ab und zu "System reinigen" anklicken.
Dann das Tool wieder aus dem Autostart nehmen
Start<Ausfuehren<msconfig<Systemstart das Haekchen vor Winsweep rausnehmen.

#Alle Dateien und Ordner in den C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp Ordnern löschen.
#Alle Dateien im Ordner C:\Windows\Temp löschen.....#Start<Ausfuehren<%temp%
#Über Systemsteuerung - Internetoptionen die temporären Internetdateien einschließlich aller Offlineinhalte löschen.

#Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
http://www.mwti.net/antivirus/free_utilities.asp

#Cwshredder
Lade <CWShredder (schliesse den Browser)und scanne
http://www.chip.de/downloads/c_downloads_11353799.html

#AdAware (free)
http://www.lavasoft.de/support/download/

Dann poste das Log noch mal.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.09.2004 um 14:01 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.09.2004, 13:57
...neu hier

Beiträge: 6
#192 hy sabina
kann die datein
C:\<Windows>\MSTO32.DLL
C:\<Windows>\SYSINI.INI
C:\<Windows>\wingua_.EXE
Ordner namens <etcf <
leider nirgends finden.... was macht ma da?

C:\WINDOWS\System32\SCVHOST.EXE
C:\WINDOWS\System32\REGCPM32.EXE
hab ich entfernt

der escan läuft seit 1,5 std en (ist bei 110000 datein durch)
hat scho 5 files gfunden ...

dauert noch ne weile

du schreibst dass man die passwörter ändern sollte oder am besten gleich den rechner neu aufsetzen sollte...

was ist denn eigentlich das gefährliche an der sache ...
lg
Seitenanfang Seitenende
06.09.2004, 14:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#193 Hallo @tobiwan

Trojaner......können ferner Hintertüren, so genannte Backdoors öffnen, durch die es Angreifern aus dem Internet möglich ist, den betroffenen Computer fern zu steuern, weitere Programme zu installieren oder Daten aus zu spähen.
Durch Trojanische Pferde können sensible Daten (Passwörter, Kreditkartennummern, Kontonummern und ähnliches) ausgespäht, Dateien kopiert und gegf. alle Aktivitäten am Computer überwacht werden. Ebenso könnte der Computer von Unbekannten via Internet für kriminelle Zwecke mißbraucht werden.
Wird ein Trojanisches Pferd einmal ausgeführt, kann man die durchgeführten Veränderungen im System nicht mehr rückgängig machen indem man das Trojanische Pferd selbst löscht, da dieses nur als Überträger fungiert. .........
_________________________________________________________________________________
Falls du sensible Daten hast, waere eine Neuinstallation angebracht, ansonsten kann man es bei der Reinigung und Sicherung des PC belassen.

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
http://www.dirks-computerecke.de/windows-xp-firewall.htm
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera
#Opera
http://www.opera7.de/
oder firefox umsteigen
http://www.firebird-browser.de/
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vroher überprüfen, ob sie Spaware oder Adware enthalten
9) ein Antivirenprogramm (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
http://www.free-av.de/
10) alle Passworte aendern

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.09.2004 um 14:08 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.09.2004, 14:28
...neu hier

Beiträge: 6
#194 zitat
Wird ein Trojanisches Pferd einmal ausgeführt, kann man die durchgeführten Veränderungen im System nicht mehr rückgängig machen indem man das Trojanische Pferd selbst löscht, da dieses nur als Überträger fungiert. .........

das heisst dass mein system unwiderruflich verändert wurde ...
auch wenn ich den trojaner entferne kann irgendwer auf meinen rechner zugreifen...
Seitenanfang Seitenende
06.09.2004, 14:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#195 Nun, es werden Ports geoeffnet, und andere Veraenderungen vorgenommen, die dein System anfaellig fuer weitere Infektionen machen. Man kann sich natuerlich schutzen, indem man eine Firewall installiert (oder die XP-Firewall aktiviert, die WindwosUpdates macht und alle sicherheitsrevelanten Dienste ueberprueft.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.09.2004 um 14:40 Uhr von Sabina editiert.
Seitenanfang Seitenende